WordPressのカレンダー プラグイン「Modern Events Calendar」で高リスクの脆弱性(CVE-2024-5441 )

セキュリティニュース

投稿日時: 更新日時:

WordPressのカレンダー プラグイン「Modern Events Calendar」で高リスクの脆弱性(CVE-2024-5441 )

WordPress(ワードプレス)のカレンダー プラグイン「Modern Events Calendar」で高リスクの脆弱性(CVE-2024-5441 )が観測され、ハッカーはこの脆弱性を悪用し、脆弱なサイトに任意のファイルをアップロードしてリモートでコードを実行しようとしています。

脆弱性 CVE-2024-5441 の内容

WordPressのカレンダー プラグイン「Modern Events Calendar」は150,000 以上のサイトで利用されています。

この脆弱性は「Modern Events Calendar」の7.11.0 までのすべてのバージョンで set_featured_image 関数のファイル タイプ検証が欠落しているため、任意のファイルのアップロードに対して脆弱です。

これにより、サブスクライバー アクセス以上の認証された攻撃者が、影響を受けるサイトのサーバーに任意のファイルをアップロードし、リモートでコード実行が可能になる可能性があります。

このプラグインでは、管理者が (設定を介して) 認証されていないユーザーにイベントを送信する機能を拡張できるため、認証されていない攻撃者がこの脆弱性を悪用する可能性があります。

対象のバージョン

 Modern Events Calendar プラグインは、7.11.0 までのすべてのバージョンが対象

引用:Hackers target WordPress calendar plugin used by 150,000 sites